- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
2.5 Требования, предъявляемые к ксзи
2.5.1 Требования к организационной и технической составляющим ксзи
Как было показано в главе 1, в составе КСЗИ можно выделить три составляющие: организационную (определяющую структуру КСЗИ, совокупность нормативных документов и т.д.), техническую (физические средства защиты, средства защиты от утечки по техническим каналам) и программную (программно-аппаратную) – средства защиты информации от НСД в АС. Соответственно, и требования к этим подсистемам рассматривать целесообразно раздельно.
Для эффективного функционирования КСЗИ важно правильно продумать организационно-штатную структуру органа безопасности, подобрать людей. Как правило, на предприятии создается служба безопасности («первый отдел»), а зачастую еще и служба информационной безопасности, занимающаяся вопросами защиты информации в АС. Кроме того, защитой информации в АС занимаются и специалисты ИТ-подразделения. От того, насколько согласовано будут работать эти службы, во многом зависит эффективность КСЗИ. Надо сказать, что на Западе отдельной службы информационной безопасности, как правило, не создается. Этими вопросами ведает менеджер по информационной безопасности (CISO – Chief Information Security Officer), который, будучи в ранге замдиректора, осуществляет общее планирование и руководство. А непосредственно вопросы защиты информации решают сотрудники ИТ-подразделения и конечные пользователи.
К организационно-распорядительной и нормативной документации по безопасности можно предъявить два основных требования: охват всех сторон деятельности предприятия и разумный объем. Длинные, стостраничные инструкции никто читать, а тем более, исполнять не будет. Поэтому здесь надо руководствоваться тем принципом, что лучше создать много небольших документов, чем один – большой.
К физическим средствам защиты относятся средства пожарной, охранной сигнализации, видеонаблюдения, пожаротушения, разграничения доступа в помещения. При создании КСЗИ важно не забывать не только о предотвращении угроз информационной безопасности, но и о защите от стихийных бедствий. На наш взгляд, хотя точная статистика здесь отсутствует, убытки от пожаров превосходят убытки от нарушения ИБ. Поэтому требование оборудования каждого помещения средствами пожарной сигнализации и пожаротушения является обязательным.
Охранную сигнализацию необходимо установить в помещения, где хранятся материальные ценности и/или важная информация в нерабочее время. Лучи сигнализации должны быть выведены на круглосуточный пост охраны, а в случае отсутствия такового – в отделение милиции.
Современные средства видеонаблюдения позволяют не только регистрировать информацию от видеокамер в цифровом виде, но предоставляют ряд дополнительных сервисов. Например, привлечение внимания оператора при возникновении движения в кадре, при оставлении человеком какой-либо вещи (ведь это может быть взрывчатка), автоматическое распознавание номеров машин и многое другое.
Средства защиты от утечки по техническим каналам можно разделить на две большие группы: средства защиты средств вычислительной техники и средства защиты помещений. Первая группа защищает от утечек компьютерной информации по каналам ПЭМИН, вторая группа – от утечки речевой информации по виброакустическим каналам. Средства защиты от утечки по техническим каналам подробно рассматриваются в главе 7.